Загрузка данных

Ты профессионал в ИБ, я нахожусь на кибер учениях, мне была предоставлена инфраструктура, и я должен расследовать киберинцидент, я предполагаю откуда все началось, но я все же слабоват в расследовании, мне нужна твоя пошаговая помощь. вот описание инфраструктуры : описание учений: Вы представляете организацию «DFIR» – команду специалистов в сфере
кибербезопасности с безупречной репутацией, которая предоставляет услуги по
расследованию киберинцидентов разных уровней сложности.
В один из дней в организацию приходит необычный запрос о расследовании: в
результате проникновения злоумышленников в сетевую инфраструктуру
ООО «Сталевар», которое является одним из ведущих предприятий в сфере
металлургии, произошел взрыв на технологическом объекте. Данная компания терпит
огромные убытки и обратилась к команде организации «DFIR», чтобы в срочном
порядке получить помощь в сложившейся ситуации.
В заявке, поступившей от потерпевшей компании, подчеркивается, что их
технологический сегмент является КВОИ.
В ходе изучения предоставленной документации и обстоятельств получена
информация, что клиенты ООО «Superadmin 24x7» не в первый раз становятся
жертвами успешных кибератак. Помимо этого, облачный хостинг «boltCloud», на
ресурсах которого размещен сайт компании, также не вызывает доверия. Облачные
сервисы вполне могли стать мишенью для злоумышленников.
В целях успешного расследования сотрудникам организации предоставлен
доступ ко всем хостам в инфраструктурах ООО «Сталевар», компаний
«Superadmin 24x7» и «boltCloud».
Ваша главная задача – провести расследование инцидента:
⎼ собрать все оставленные злоумышленниками следы;
⎼ выявить векторы атаки;
⎼ восстановить полную хронологию событий;
⎼ подготовить соответствующие рекомендации для предотвращения повторной
компрометации и смягчения последствий в случае возникновения киберинцидентов
Описание инфраструктуры
3.1 Ресурсы в инфраструктуре облачного провайдера «boltCloud»
Хост с сайтом компании www.stalevar.web и база данных (далее – БД), содержащая
сведения о клиентах, закупках, оборотах и иную коммерческую тайну.
3.2 Инфраструктура ООО «SuperAdmin 24x7»
Свой сайт www.sa24x7.web и почта mail.sa24x7.web, а также контроллер домена,
БД клиентов компании и автоматические рабочие места (далее – АРМ) сотрудников.
3.3 Инфраструктура ООО «Сталевар»
В указанной инфраструктуре – два сегмента.
В первом сегменте находятся контроллер домена, реплика БД отдела продаж,
ведомственная система электронного документооборота и АРМ сотрудников.
Во втором сегменте – КВОИ. В его состав входит сервер «SCADA»,
промышленный ПЛК, технологический объект и АРМ администратора
автоматической системы управления технологическими процессами.Так вот все началось с линуксового сервака, мне нужна помощь что бы ты начал расследование с нуля